Koduleht » Internet » PHPMailer on kriitilise vea tõttu haavatav kaugjuhtimisega

    PHPMailer on kriitilise vea tõttu haavatav kaugjuhtimisega

    PHPMailer, üks kõige rohkem populaarsed avatud lähtekoodiga PHP raamatukogud, on sattunud oma probleemidesse, sest Poola julgeoleku-uurija Dawid Golunski on juriidilistel häkkeritel avastas kriitilise haavatavuse, mis jätab selle vastuvõtlikuks kaugjuhtimisega.

    Kõnealuse haavatavuse eripära (CVE-2016-10033) ei ole veel ilmnenud, sest Golunski on vigade tehniliste üksikasjade kinnipidamine kuna PHPMailer on levinud.

    Golunski aga paljastas vea olemuse ja tundub, et viga oleks lubada ründajal veebiserveri kontekstis kaugjuhtimisega suvalise koodi käivitada. See kahjustaks sihtrühma veebirakendust.

    Selle konkreetse haavatavuse ärakasutamiseks oleks ründaja sihtige veebisaidi komponente, mis saadavad e-kirju PHPMaileri klassi haavatava versiooni abil. Sellised komponendid hõlmavad selliseid asju nagu kontakt- või tagasiside vormid, registreerimisvormid, paroolide e-posti lähtestamine ja paljud teised.

    Õnneks on Golunski sellest ajast alates teatanud sellest haavatavusest PHPMaileri arendajatele ja arendajad on sellest ajast peale PHPMaileriga 5.2.18. Kuna see haavatavus, veebihaldurid ja arendajad mõjutavad kõiki PHPMaileri versiooni enne 5.2.18, peaksid oma PHPMailerit võimalikult kiiresti värskendama.

    Allikas: The Hacker News